實驗三 交換機的帶內和帶外管理.doc

實驗三 交換機帶內管理和帶外管理【實驗目的】1、 熟悉帶內管理和帶外管理的區(qū)別2、 掌握帶內管理和帶外管理的實現(xiàn)方式3、 靈活使用帶內管理和帶外管理的方式交換機【引入案例】A單位要進行網(wǎng)絡升級改造，購置了一批全新的網(wǎng)絡設備，其中交換機的數(shù)量最多，這些新的交換機將分布在各樓層、各片區(qū)，網(wǎng)絡中心的管理員負責它們的安裝、調試以及日后的管理和維護。面對數(shù)量眾多且物理位置相距較遠的交換機，網(wǎng)管人員必須找到一種省時、便捷的網(wǎng)絡管理方式。【案例分析】交換機是網(wǎng)絡中除終端計算機外使用數(shù)量最多，分布范圍最廣的網(wǎng)絡設備，特別是像A單位這種比較大型的內部網(wǎng)絡，交換機的維護管理工作更是頻繁。如果每臺交換機都需要人工到現(xiàn)場進行配置管理，網(wǎng)管人員的工作量之巨大可想而知，而當交換機出現(xiàn)故障，更不能及時排除。實際上，我們可以使用Telnet、Web等方式對交換機進行遠程管理，也就是交換機的帶內管理。我們只需要在交換機上把帶內管理模式配置好，網(wǎng)管人員只需坐在控制機房，通過遠程登錄就可以對遍布各個角落的交換機管理配置?！净驹怼拷粨Q機的管理方式可以分為帶內管理和帶外管理兩種管理模式。所謂帶內管理，是指管理控制信息與數(shù)據(jù)業(yè)務信息通過同一個信道傳送。使用帶內管理，可以通過交換機的以太網(wǎng)端口對設備進行遠程管理配置，目前我們使用的網(wǎng)絡管理手段基本上都是帶內管理。在帶外管理模式中，網(wǎng)絡的管理控制信息與用戶數(shù)據(jù)業(yè)務信息在不同的信道傳送。帶內管理和帶外管理的最大區(qū)別在于，帶內管理的管理控制信息占用業(yè)務帶寬，其管理方式是通過網(wǎng)絡來實施的，當網(wǎng)絡中出現(xiàn)故障時，無論是數(shù)據(jù)傳輸還是管理控制都無法正常進行，這是帶內管理最大的缺陷；而帶外管理是設備為管理控制提供了專門的帶寬，不占用設備的原有網(wǎng)絡資源，不依托于設備自身的操作系統(tǒng)和網(wǎng)絡接口。簡單地說，交換機的帶外管理就是不通過交換機的以太網(wǎng)口進行管理的方式，而帶內管理的管理信息則需要通過交換機的以太網(wǎng)口來傳送。從交換機的訪問方式來說，通過Telnet、Web、SNMP方式對交換機進行遠程管理都屬于帶內管理，而通過交換機的Console口對它進行管理的方式屬于帶外管理。一、通過Console口進行本地登錄一般來說，交換機設備開箱啟封后，網(wǎng)絡管理員為了統(tǒng)一管理和將交換機性能發(fā)揮到最佳狀態(tài)，都會首先使用設備的console口來對設備進行一些必要的初始配置。因此，通過交換機的console口本地登錄是登錄交換機的最基本的方式，也是配置通過其他方式登錄交換機的基礎。用戶終端的通信參數(shù)配置要和交換機Console口的配置保持一致，才能通過Console口登錄到以太網(wǎng)交換機上。用戶登錄到交換機上后，可以對Console口登錄方式的公共屬性和認證方式進行相關的配置。Console口登錄方式的認證方式有None、Password、Scheme三種，不同的認證方式下，需要配置不同的Console口登錄方式的屬性。其中，Console口登錄方式的公共屬性都有設備出廠默認值，用戶可以根據(jù)需要選擇配置，包括Console口的傳輸速率、校驗方式、停止位和數(shù)據(jù)位等。H3C S3100系列以太網(wǎng)交換機支持兩種用戶界面：AUX用戶界面、VTY用戶界面。配置Console口登錄方式必須在AUX用戶界面視圖下進行。二、通過Telnet進行登錄只要以太網(wǎng)交換機支持Telnet功能，用戶就可以通過Telnet方式對交換機進行遠程管理和維護。交換機和Telnet用戶端都要進行相應的配置，才能實現(xiàn)遠程登錄交換機。與Console口登錄方式類似，Telnet登錄方式也有None、Password、Scheme三種，不同的認證方式下，需要配置不同的Telnet登錄方式的屬性，用戶可以根據(jù)需要選擇配置，包括VTY用戶界面、VTY用戶終端屬性等配置。配置Telnet登錄方式需要在VTY用戶界面視圖下進行。三、通過Web網(wǎng)管登錄采用web方式登錄的管理者則可以通過圖形界面與交換機進行交互，比較直觀但也會占用較多網(wǎng)絡資源。它利用支持Web網(wǎng)管登錄的以太網(wǎng)交換機提供內置的WEB Server，用戶可以通過終端登錄到交換機上，以WEB方式直觀地管理和維護以太網(wǎng)交換機。與Telnet登錄方式類似，交換機和WEB網(wǎng)管終端都要進行相應的配置，才能保證通過WEB網(wǎng)管方式正常登錄交換機。其中，交換機需要配置VLAN接口的IP地址，保證交換機與WEB網(wǎng)管終端之間路由可達，并配置WEB網(wǎng)管的用戶名和認證口令以及用戶登錄后訪問的命令級別；而WEB網(wǎng)管終端則需要安裝IE瀏覽器進行WEB網(wǎng)管登錄?！久罱榻B】一、通過Telnet遠程登錄交換機。1設置登錄用戶的認證方式authentication-mode none | password | scheme 視圖用戶界面視圖參數(shù)l none：不需要認證。l password：進行口令認證。l scheme：進行本地或遠端用戶名和口令認證。例在VTY用戶界面視圖下，設置通過VTY0登錄交換機的Telnet用戶不需要進行認證。 H3C-ui-vty0 authentication-mode none2設置/取消從用戶界面登錄后可以訪問的命令級別user privilege level levelundo user privilege level視圖用戶界面視圖參數(shù)l level：從用戶界面登錄后可以訪問的命令級別，取值范圍為03。缺省情況下，從AUX用戶界面登錄后可以訪問的命令級別為3級，從VTY用戶界面登錄后可以訪問的命令級別為0級。命令級別共分為訪問、監(jiān)控、系統(tǒng)、管理4個級別，分別對應標識0、1、2、3，說明如下：訪問級（0級）：用于網(wǎng)絡診斷等功能的命令。包括ping、tracert、telnet等命令，執(zhí)行該級別命令的結果不能被保存到配置文件中。監(jiān)控級（1級）：用于系統(tǒng)維護、業(yè)務故障診斷等功能的命令。包括debugging、terminal等命令，執(zhí)行該級別命令的結果不能被保存到配置文件中。系統(tǒng)級（2級）：用于業(yè)務配置的命令。包括路由等網(wǎng)絡層次的命令，用于向用戶提供網(wǎng)絡服務。管理級（3級）：關系到系統(tǒng)的基本運行、系統(tǒng)支撐模塊功能的命令，這些命令對業(yè)務提供支撐作用。包括文件系統(tǒng)、FTP、TFTP、XModem下載、用戶管理命令、級別設置命令等。例在VTY用戶界面視圖下，設置從VTY0用戶界面登錄后可以訪問的命令級別為1。 H3C-ui-vty0 user privilege level 13配置用戶界面支持的協(xié)議protocol inbound all | telnet 視圖VTY用戶界面視圖參數(shù)l all：支持所有的協(xié)議。l telnet：支持Telnet協(xié)議。例配置VTY0用戶界面只支持Telnet協(xié)議 .H3C-ui-vty0 protocol inbound telnet4配置/取消配置屏幕上一屏中能夠顯示的信息的行數(shù)screen-length screen-lengthundo screen-length視圖用戶界面視圖參數(shù)l screen-length：屏幕分屏顯示的行數(shù)，取值范圍為0512。缺省情況下，screen-length 的值為24行，取值為0表示關閉分屏顯示功能。例在VTY用戶界面視圖下，設置終端屏幕的一屏行數(shù)為20行。 H3C-ui-vty0 screen-length 205設置/取消設置當前用戶視圖歷史命令緩沖區(qū)的大小history-command max-size valueundo history-command max-size視圖用戶界面視圖參數(shù)l value：歷史緩沖區(qū)的大小，取值范圍為0256。缺省情況下，歷史命令緩沖區(qū)的大小為10，即可存放10條歷史命令。例設置VTY0用戶界面歷史命令緩沖區(qū)的大小為20，即可以保存20條歷史命令。 H3C-ui-vty0 history-command max-size 206配置/取消配置用戶超時斷開連接的時間idle-timeout minutes seconds undo idle-timeout視圖用戶界面視圖參數(shù)l minutes：分鐘數(shù)，取值范圍為035791。seconds：秒數(shù)，取值范圍為059。缺省情況下，用戶超時斷開連接的時間為10分鐘。設置idle-timeout 0即關閉超時中斷連接功能。例設置VTY0用戶界面的超時斷開連接時間為1分鐘。H3C-ui-VTY0 idle-timeout 1如果在所設定的時間內用戶沒有對交換機執(zhí)行任何操作，則交換機將斷開與該用戶的連接。7設置/取消本地認證的口令set authentication password cipher | simple passwordundo set authentication password視圖用戶界面視圖參數(shù)l cipher：設置本地認證口令以密文方式存儲。l simple：設置本地認證口令以明文方式存儲l password：口令字符串。如果驗證方式是simple，則password必須是明文口令。如果驗證方式是cipher，則用戶在設置password時有兩種方式：（1）一種是輸入小于等于16字符的明文口令，系統(tǒng)會自動轉化為24位的密文形式；（2）另一種是直接輸入24字符的密文口令，這種方式要求用戶必須知道其對應的明文形式。如：明文“123456”對應的密文是“OUM!K%F+$Q=QMAF41!”。例在VTY用戶界面視圖下，設置VTY0的本地認證明文口令為123。H3C-ui-VTY0 set authentication password simple 123二、通過WEB方式遠程登錄交換機1設置/取消設置某用戶登錄類型及登錄后可以訪問的命令級別service-type ftp | telnet | level level undo service-type ftp | telnet 視圖本地用戶視圖參數(shù)l ftp：指定用戶為ftp類型。l telnet：指定用戶為Telnet類型。l level level：指定Telnet用戶可以訪問的命令級別。level為整數(shù)，取值范圍03，缺省級別為0級。與用戶界面命令級別一樣，本地用戶命令級別也分為訪問、監(jiān)控、系統(tǒng)、管理4個級別，分別對應標識0、1、2、3。例在系統(tǒng)視圖下，設置本地用戶名為abc，登錄后可以訪問命令級別為0級的命令。H3C local-user abcH3C-luser-abc service-type telnet level 02設置/取消設置本地用戶的密碼。password simple | cipher passwordundo password視圖本地用戶視圖參數(shù)l simple：表示密碼為明文。l cipher：表示密碼為密文。l password：表示設置的密碼，例設置用戶admin的密碼采用明文方式，密碼為123456。H3C local-user adminH3C-luser-admin password simple 1234563關閉/取消關閉WEB Server,關閉/取消關閉HTTP服務對應的TCP 80端口ip http shutdownundo ip http shutdown視圖系統(tǒng)視圖例在系統(tǒng)視圖下，關閉WEB Server。H3C ip http shutdown缺省情況下，WEB Server處于啟動狀態(tài)。三、為接口配置IP地址。1為/取消以太網(wǎng)端口或VLAN接口配置IP地址和掩碼。ip address ip-address maskundo ip address ip-address mask 視圖以太網(wǎng)端口視圖/VLAN接口視圖參數(shù)l ip-address：管理VLAN接口的IP地址。l mask：管理VLAN接口IP地址的掩碼，點分十進制格式或以整數(shù)形式表示的長度，當用整數(shù)形式時，取值范圍為032。例在系統(tǒng)視圖下，為當前管理VLAN 1的接口配置IP地址為，掩碼。 H3C interface Vlan-interface 1H3C-Vlan-interface1 ip address 【解決方案】1案例描述A單位的交換機由于是新購置的設備，里面只有默認的出廠設置，而Telnet、Web等登錄方式的前提是先要交換機開啟一些相關的服務。因此，網(wǎng)管人員可以通過交換機console口登錄，對新開箱啟封的交換機進行一些初始的配置，包括配置好Telnet、Web等登錄方式所需環(huán)境。這樣，即使把交換機安裝在物理位置相對較遠的地方，網(wǎng)管人員也能用遠程登錄的方式對交換機進行后續(xù)的管理和維護。如果日后發(fā)生網(wǎng)絡故障，某臺交換機與外界網(wǎng)絡完全中斷，無法對其實行帶內管理，可以考慮采用帶外管理的方式，不使用設備的網(wǎng)絡接口，也就是通過交換機的console口對其進行配置管理。因此，針對本案例，網(wǎng)管人員可以先通過交換機的Console口登錄交換機，配置好Telnet登錄方式所需環(huán)境，就可以實現(xiàn)遠程登錄的方式來管理交換機。2拓撲圖（1）通過Console口登錄交換機。圖2.1 （2）通過Telnet遠程登錄交換機。圖2.2【實驗設備】二層交換機1臺，PC機1臺，配置電纜1根，標準網(wǎng)線1根。說明：本實驗二層交換機選擇H3C LS-S3100-16C-SI-AC?！緦嵤┎襟E】步驟1 用交換機的console口登錄交換機作初始配置1按拓撲圖 建立本地配置環(huán)境，將配置電纜的RJ-45端口接入以太網(wǎng)交換機的console口，配置電纜另一端的串口則接入PC機（或終端）的串口。Console口是一種線設備端口。2在PC機（或終端）上運行終端仿真程序，如Windows XP的超級終端，選擇與交換機相連的串口，設置終端通信參數(shù)：傳輸速率為9600bit/s、8位數(shù)據(jù)位、1位停止位、無校驗和無流控，如圖所示。圖2.3 新建連接圖2.4 選擇連接端口圖2.5 端口參數(shù)設置3打開交換機電源，交換機會進行設備自檢，完成后會在屏幕提示用戶輸入回車鍵，敲入回車鍵后就可以看到命令行提示符，此時證明交換機登錄成功，即可以輸入相關的命令配置交換機。圖2.6 進入配置界面步驟2 配置Telnet的登錄方式（認證方式為Password）。1進入系統(tǒng)視圖。system-view2進入交換機vlan1接口視圖配置交換機的IP地址。H3Cinterface vlan-interface 1H3C-Vlan-interface1 ip address H3C-Vlan-interface1 quit3進入VTY0用戶界面視圖。S3100系列以太網(wǎng)交換機支持兩種用戶界面：AUX用戶界面和VTY用戶界面。AUX（Auxiliary）用戶界面是系統(tǒng)為通過Console口登錄方式提供的視圖；VTY（Virtual Type Terminal，虛擬類型終端）用戶界面是系統(tǒng)為通過VTY方式登錄提供的視圖，對設備進行Telnet訪問屬于VTY登錄方式。在H3C系列以太網(wǎng)交換機中，AUX口和Console口是同一個端口，以下稱為Console口，與其對應的用戶界面類型只有AUX用戶界面類型。H3C user-interface vty 04設置登錄用戶的認證方式為Password認證。H3C-ui-vty0 authentication-mode pass